Polak znajduje groźne błędy w Javie w Nokiach

Adam Gowdiak - polski specjalista ds. bezpieczeństwa - znalazł dwie groźne luki w Javie zaimplementowanej do telefonów Nokia z serii 40 (Nokia Series 40). Błędy te mogą zostać wykorzystane przez przestępców do nawiązywania połączeń bez wiedzy użytkownika, nagrywania konwersacji czy przechwytywania danych zapisanych w pamięci telefonu.

Z informacji udostępnionych przez A. Gowdiaka wynika, że problem dotyczy oprogramowania firmy Sun Microsystems zastosowanego w telefonach fińskiego koncernu - chodzi o implementację technologii Java. Specjalista przekazał już część informacji na ten temat do Suna i Nokii - firmy otrzymały jednak na razie jedynie fragment szerszego opracowania na temat luk. Za komplet materiałów (zawierający m.in. exploita dowodzącego, że luki da się wykorzystać do atakowania użytkowników) Gowdiak wyznaczył cenę - 20 tys. euro. Pieniądze te mają zostać przeznaczone na stworzenie polskiej firmy - Security Explorations - która specjalizować się będzie w badaniach z zakresu bezpieczeństwa informatycznego.

Z przeprowadzonych przez Polaka analiz wynika, że luki mogą zostać wykorzystane do podsunięcia użytkownikowi telefonu Nokii z serii 40 złośliwej aplikacji, która - po zainstalowaniu w urządzeniu - pozwoli "napastnikowi" na przeprowadzanie najróżniejszych szkodliwych operacji. Wśród nich znalazło się m.in. nieautoryzowane nawiązywanie połączeń, wysyłanie wiadomości SMS, nagrywanie dźwięku (np. rozmów prowadzonych przez telefon) czy materiału wideo. Co więcej, przestępca będzie również mógł uzyskać dostęp do danych zapisanych w pamięci telefonu lub karcie SIM.

Warto odnotować, że platforma Nokia Series 40 wykorzystana została w ok. 140 różnych telefonach fińskiej firmy (to najpopularniejsza platforma Nokii). Szacuje się, że na świecie sprzedano łącznie ok. 100 mln takich urządzeń.

Problem wykryty przez Gowdiaka wydaje się niezmiernie poważny, ponieważ luki pozwalają na bardzo łatwe zaatakowanie telefonu - napastnik nie musi uzyskiwać do niego fizycznego dostępu, wystarczy, że będzie znał numer. To pozwoli mu na wysłanie "złośliwej" wiadomości, która zainstaluje w urządzeniu szkodliwy kod. Co ważne, ów złośliwy kod po zainstalowaniu nie będzie widoczny dla użytkownika.

Adam Gowdiak twierdzi, że przetestował siedem różnych telefonów komórkowych Nokii z najpopularniejszych rodzin dostępnych w ramach platformy Series 40 - wszystkie były podatne na atak. Specjalista nie wyklucza też, że luki występują również w telefonach innych firm, w których zainstalowana jest mobilna wersja Javy - J2ME. Z jego testów wynika bowiem, że błędy znajdują się także w oprogramowaniu Java Wireless Toolkit, służącym do tworzenia mobilnych aplikacji dla Javy.

Nokia i Sun na razie nie komentują tych doniesień.


Zobacz również